فهم البنية الأساسية المرنة على أجهزة IOS XE
المحتويات
المقدمة
يصف هذا المستند نهج Cisco للبنية الأساسية المرنة، والتي تمتد جذورها في التصميم الآمن بشكل افتراضي والآمن.
المتطلبات الأساسية
المتطلبات
بينما لا توجد متطلبات خاصة لهذا المستند، يكون الفهم الأساسي لبرنامج Cisco IOS ® XE مفيدا للغاية.
المكونات المستخدمة
تنطبق المعلومات الواردة في هذا المستند على جميع الأجهزة التي يمكنها تشغيل Cisco IOS XE 17.18.2 والبرامج الأحدث. ويتضمن هذا cisco IOS XE مسحاج تخديد، مفتاح، و WLCs.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
هدف
يتمثل هدفنا في تقليل سطح الهجوم على منتجات شبكات Cisco بشكل هادف وتقليل نقاط ضعف الأمان من خلال الإعدادات الافتراضية الآمنة وإزالة التقنيات والميزات القديمة غير الآمنة وتعزيز أمان المنتج.
يمكنك العثور على مزيد من التفاصيل حول الضغط الذي تواجهه Cisco لتحسين وضع أمان الشبكة في وثائق البنية الأساسية المرنة بالإضافة إلى دليل تقوية برنامج Cisco IOS XE Software. ومع ذلك، يركز هذا المستند بشكل أساسي على الجوانب والاعتبارات التقنية التي ينتج عنها التنفيذ المرحلي لهذه التغييرات الأمنية الحيوية.
نهج تدريجي
لضمان سطح هجوم أقل واعتماد أفضل ممارسات الأمان الحيوية مع تقليل التعطيل والجهد إلى الحد الأدنى لعملائنا، تتبع Cisco نهجا مرحليا لإزالة الميزات والبروتوكولات غير الآمنة. يرجى ملاحظة أن عملية تطوير التكوينات غير الآمنة تتم وفقا لميزات معينة أو بروتوكولات معينة. يمكن أن تبقى إحدى الميزات في مرحلة التحذير بينما تدخل ميزة أخرى مرحلة التقييد.
المرحلة الأولى: تحذير
يتلقى المستخدمون تحذيرات على واجهة سطر الأوامر (CLI) عند تكوين ميزات أساسية غير آمنة. يتمثل هدفنا في زيادة الوعي بهذه المواصفات غير الآمنة حتى يتمكن العملاء من بدء التخطيط للترحيل إلى خيارات أكثر أمانا. توصي Cisco بشدة بمعالجة أي رسائل تحذير غير آمنة على الفور. لا تؤدي التكوينات غير الآمنة في مرحلة التحذير إلى تشغيل وضع غير آمن أو تتطلب ذلك.
Cisco IOS XE صيغة 17.18.2 هو أول إصدار برمجي لتقديم مرحلة التحذير لميزات غير آمنة.
المرحلة الثانية: قيد
يتم تعطيل الميزات غير الآمنة الأساسية بشكل افتراضي وتتطلب إجراء صريحا من المستخدم للتمكين (من خلال إدخال وضع غير آمن). وتستمر عمليات النشر الحالية في العمل، ولكن عمليات التثبيت الجديدة تتطلب التمكين المتعمد لهذه التكوينات غير الآمنة. يرجى ملاحظة أنه لا يمكن أن يكون لبعض الميزات على الأنظمة الأساسية Cisco IOS XE مرحلة تقييد: يمكنهم
قم ببساطة بعرض التحذيرات الخاصة بالإصدارات المتعددة قبل الإزالة التالية.
Cisco IOS XE صيغة 26.1.1 هو أول إصدار برمجي لتقديم مرحلة التقييد لميزات غير آمنة.
المرحلة الثالثة: إستبعادا
يتم إزالة الميزات غير الآمنة وغير الآمنة بالكامل. يختلف توقيت إزالة الميزة، حسب تأثير المستخدم وكذلك الاعتماد. على سبيل المثال، من المفترض أن يتم التخلص من المميزات المعتمدة على نطاق واسع مثل الإصدار الثاني من بروتوكول إدارة الشبكات البسيط (SNMP) تدريجيا بشكل أبطأ من تلك المستخدمة بشكل أقل.
Cisco IOS XE صيغة 26.2.1 هو أول إصدار برمجي أن يقدم مرحلة الإزالة لميزات غير آمنة.
أوامر المفتاح
هذه الأوامر مفيدة للغاية حيث يقوم العملاء بتنفيذ بنية أساسية أكثر مرونة. وتتم الإشارة إلى هذه الأوامر في هذا المستند بالكامل.
- إظهار التكوين غير الآمن للنظام
- يتم إستخدام هذا الأمر لعرض التكوينات غير الآمنة المطبقة حاليا والموجودة في مرحلة التقييد. ولا يعرض التكوينات غير الآمنة الموجودة في مرحلة التحذير أو مرحلة الإزالة. يعرض هذا الأمر أيضا الوقت المتبقي لمسح التكوين غير الآمن التالي (بالتفصيل في قسم وحدات التوقيت وعمليات مسح التكوين غير الآمنة).
- إظهار وضع أمان النظام
- يوفر هذا الأمر إخراج موجز يظهر ما إذا كان الجهاز في الوضع الآمن أو الوضع غير الآمن.
- show running-config all | تضمين وضع النظام غير آمن
- يعرض هذا الأمر التكوين الجاري تشغيله (بما في ذلك التكوينات الافتراضية)، الذي تمت تصفيته على وضع النظام لكلمات أساسية غير آمنة. يرجى الرجوع إلى قسم "تغيير وضع الأمان" أو التفاصيل الإضافية.
- نظام الاختبار الآمن للجميع
- يقوم هذا الأمر بتشغيل فحص التكوين غير الآمن على الفور ويعرض إخراج التكوين show system insecure. من المفيد تحديث التكوينات التي تم وضع علامة غير آمنة عليها بعد إجراء تغيير دون الانتظار حتى انتهاء صلاحية مؤقت المسح الضوئي.
- إظهار ملف تعريف غير آمن للنظام
- يعرض هذا الأمر التكوينات غير الآمنة لمرحلة التقييد التي تم تصميم النظام للكشف عنها على هذا الإصدار من البرنامج. يتم تحديث قائمة التكوينات غير الآمنة في ملف التعريف بمرور الوقت مع إستمرار تطوير أفضل ممارسات الأمان. هذا ليس انعكاسا من السمة غير آمن يشكل حاليا على الأداة. إنها ببساطة قائمة بكل عمليات التهيئة غير الآمنة لمرحلة تقييد حمل البيانات التي يكتشفها النظام. يرجى الرجوع إلى أدلة التعزيز في قسم الموارد الإضافية للحصول على أفضل ممارسات الأمان.
المحاذير والاعتبارات
المؤقتات ومسوحات التكوين غير الآمنة
تتم جدولة عمليات التحقق من التكوين غير الآمن ورسائل التحذير المفصلة عبر هذا المستند في وحدات التوقيت لتحديد معدل مرات تشغيلها. عند تصحيح تكوين غير آمن، لا يختفي على الفور من إخراج التكوين غير الآمن ل show system. هناك تأخير يصل إلى 30 دقيقة نظرا لعمل ماسح التكوين على دورة تبلغ مدتها 30 دقيقة. وبالمثل، يمكن أن يكون هناك تأخير يصل إلى دقيقتين بين تطبيق تكوين غير آمن وما يقابله من ٪SYS-4-INSECURE_CONFIG syslog.
يمكن للمستخدمين عرض الوقت المتبقي حتى يتم تشغيل الفحص التالي باستخدام أمر show system insecure configuration. يتم عرض المؤقت في القسم الأول من الإخراج. يوضح هذا المثال الأول أنه قد تم إجراء تغييرات التكوين، وتظهر عملية المسح التالية للتكوينات غير الآمنة في 8 دقائق:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 1
Database Type: Active (Current State)
Scan Status: Complete
Next Update: Pending in 8 min 0 sec <<<----------
Database State: Update Scheduled
=============================================================
<snip>
يوضح هذا المثال التالي أنه لم يتم الكشف عن أي تغييرات في التكوين منذ آخر مسح، وبالتالي لا توجد حاجة إلى إجراء فحوصات إضافية على التكوينات غير الآمنة:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 1
Database Type: Active (Current State)
Scan Status: Complete
Next Update: No pending updates <<<----------
Database State: Stable
=============================================================
<snip>
يمكن للمستخدمين فرض إعادة البيع الفوري باستخدام الأمر إختبار نظام آمن الكل. بالإضافة إلى المطالبة بإعادة تخزين فورية، يعرض هذا الأمر إخراج show system غير آمن للتكوين. يساعد ذلك في تحديث التكوينات التي تم وضع علامة غير آمنة بعد إجراء تغيير دون الانتظار لانتهاء صلاحية مؤقت المسح.
تحذيرات التكوين غير الآمن
بدءا من عام 17.18.2 مع تقديم مرحلة التحذير، يمكن للمستخدمين مشاهدة صياغة syslog هذه:
%SYS-4-INSECURE_CONFIG: Module: <MODULE> - Command: <COMMAND> - Reason: <REASON> - Remediation: <REMEDIATION>
%SYS-4-INSECURE_DYNAMIC_WARNING: Module: <MODULE> - Command: <COMMAND> - Reason: <REASON> - Remediation: <REMEDIATION>
وتتضمن هذه الرسالة ما يلي:
- الوحدة النمطية: المكون الذي أنشأ رسالة السجل (مثل التسجيل أو HTTP أو LINE)
- : التكوين المحدد الذي أدى إلى تشغيل رسالة التحذير
- السبب: السبب وراء وضع علامة على هذا التكوين على أنه غير آمن
- المعالجة: الإجراء المطلوب للترحيل إلى بديل أكثر أمانا
لا تؤثر رسائل التحذير هذه على الخدمة أو الوظيفة الموجودة على الجهاز. الغرض هو لفت الانتباه إلى هذه التكوينات غير الآمنة حتى يمكن للمستخدم الحد منها بشكل استباقي.
ملاحظة: بدءا من الإصدار 26.1.1 من Cisco IOS XE، تشير رسائل INSECURE_DYNAMIC_WARNING إلى تكوينات غير آمنة في مرحلة التحذير بينما تشير رسائل INSECURE_CONFIG إلى تكوينات غير آمنة في مرحلة الحظر. تظهر فقط تكوينات Restriction-phase في إخراج التكوين show system insecure.
الرجاء ملاحظة أن هذه السجلات تتم رؤيتها عند التمهيد أو بعد تطبيق تكوين غير آمن. بالإضافة إلى ذلك، يمكن إعادة ظهورها على الجهاز بشكل دوري. يمكنك العثور على تفاصيل إضافية حول هذه الرسائل وبنائها في مرجع تحذيرات أمان Cisco IOS XE للبنية الأساسية المرنة.
مثال syslog يرى بعد فترة قصيرة من التكوين
هذا مثال syslog رسالة يرى بعد فترة قصيرة من تطبيق تشكيل غير آمن. كما هو موضح في قسم وحدات التوقيت وعمليات فحص التكوين غير الآمنة، يمكن أن تستغرق هذه الرسائل ما يصل إلى دقيقتين للظهور بعد تطبيق التكوين غير الآمن:
! Feature in the Warning phase:
*Jan 1 01:23:45.678: %SYS-4-INSECURE_DYNAMIC_WARNING: Module: HTTP - Command: ip http server - Reason: Legacy protocol poses data confidentiality and integrity risks due to lack of encryption and authentication - Remediation: Use http secure server to ensure secure web access - Submode: configure - Parent CLI: Not Applicable
! Feature in the Restriction phase:
*Jan 1 01:23:45.678: %SYS-4-INSECURE_CONFIG: Module: FTP - Command: ip ftp source-interface GigabitEthernet0/0/0 - Reason: No encryption is configured - Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
مثال syslog يرى على bootup
هذه أمثلة على الرسائل المعروضة على التمهيد. يتم عرض رسالة لكل تكوين غير آمن يكتشفه النظام:
! Feature in the Warning phase:
INSECURE DYNAMIC WARNING - Module: HTTP, Command: ip http server , Reason: Legacy protocol poses data confidentiality and integrity risks due to lack of encryption and authentication, Remediation: Use http secure server to ensure secure web access, Submode: configure, Parent CLI: Not Applicable
! Feature in the Restriction phase:
SECURITY WARNING - Module: FTP, Command: ip ftp source-interface GigabitEthernet0/0/0 , Reason: No encryption is configured, Description: FTP service enabled - transmits credentials and data in plaintext, vulnerable to interception, Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
وضع غير آمن
يتم تقديم الوضع غير الآمن الذي يبدأ من Cisco IOS XE الإصدار 26.1.1. يوجد الوضع غير الآمن للمساعدة في سد الفجوة بين عمليات النشر الحالية غير الآمنة والشبكات التي سيتم تصليحها في المستقبل. تتيح إضافة تكوين الوضع غير الآمن للعملاء إمكانية مواصلة العمل باستخدام الميزات الحالية غير الآمنة أثناء وضع علامة على التكوينات التي تمثل خطرا على الأمان والتي يجب الحد منها. كما أنه يعمل كإقرار بالميزات غير الآمنة قبل محاولة تطبيقها على جهاز إعدادات المصنع الافتراضية. كما يتيح الوضع غير الآمن تخطيط نهاية العمر الافتراضي للميزات المهملة قبل المرحلة الثالثة حيث يتم إزالتها بالكامل. يتمثل الهدف من وضع عدم الأمان في ترحيل العملاء إلى شبكات الأمان حسب التصميم مع تقليل أي أعطال محتملة للوظائف إلى الحد الأدنى.
بالنسبة لعمليات النشر الجديدة تماما والتثبيتات الجديدة التي تكون إعدادات المصنع الافتراضية، يتم تعيين "الوضع الآمن" بشكل افتراضي (لا يوجد وضع نظام غير آمن)، مما يعني أن الجهاز لا يسمح للمستخدمين بتطبيق تكوينات غير آمنة مرحلة التقييد. يحتاج المستخدمون إلى تمكين الوضع غير الآمن بشكل صريح باستخدام التكوين العام غير الآمن لوضع النظام من أجل تطبيق ميزات وبروتوكولات Restriction-phase غير الآمنة. لا يزال من الممكن تطبيق الميزات والبروتوكولات غير الآمنة في مرحلة التحذير في "وضع الأمان"، ولكنها تقوم بإنشاء رسائل تحذير.
التحقق من وضع الأمان الحالي
يمكن للمستخدمين التحقق مما إذا كان الجهاز في وضع الأمان أو وضع عدم الأمان باستخدام الأمر show system security mode. show running-config all | يتضمن أمر وضع النظام يعكس أيضا ما إذا كان الجهاز في الوضع الآمن أو الوضع غير الآمن. تقول الكلمة الأساسية all للجهاز أن يتضمن التكوينات الافتراضية في الإخراج، بما أن الوضع الآمن هو الإعداد الافتراضي على عمليات النشر الجديدة.
تعكس هذه المخرجات جهازا في الوضع الآمن:
Device# show system security mode
System Security Mode : Secure
Device# show running-config all | include system mode
no system mode insecure
نفس الأمر يستطيع كنت استعملت أن يفحص إن كان الأداة في أسلوب غير آمن:
Device# show system security mode
System Security Mode : Insecure
Device# show running-config all | include system mode
system mode insecure
تغيير وضع الأمان
تمكين وضع غير آمن
يمكن للمستخدمين تمكين الوضع غير الآمن باستخدام التكوين العام غير الآمن لوضع النظام:
Device# configure terminal
Device(config)# system mode insecure
تمكين الوضع الآمن
يمكن للمستخدمين تمكين "الوضع الآمن" باستخدام التكوين العام غير الآمن لوضع النظام:
Device# configure terminal
Device(config)# no system mode insecure
متطلبات تمكين الوضع الآمن
للنقل إلى الوضع الآمن:
- يجب أن يكون أي مسح غير آمن للتكوين مكتملا، و
- يجب إزالة جميع التكوينات غير الآمنة من الجهاز
إذا لم يكتمل مسح التكوين غير الآمن، يطلب النظام من المستخدم إعادة المحاولة بعد انتهاء صلاحية مؤقت المسح الضوئي:
Device# configure terminal
Device(config)# no system mode insecure
System secure mode cannot be changed to secure as insecure configuration scanning is in progress. Try after 4 min 0 sec.
يمكن للمستخدمين فرض إعادة البيع الفوري باستخدام الأمر إختبار نظام آمن الكل.
إذا قام النظام، بعد انتهاء صلاحية المؤقت واكتمال فحص التكوين، باكتشاف أي تكوينات غير آمنة، فلن يدخل النظام إلى "الوضع الآمن". يجب إزالة هذه التكوينات غير الآمنة قبل أن يتمكن النظام من الدخول إلى الوضع الآمن:
Device(config)# no system mode insecure
System secure mode cannot be changed to secure as insecure cli(s) are present in system.
بمجرد استيفاء كلا هذين المتطلبين، يمكن للمستخدمين تمكين "الوضع الآمن":
Device# configure terminal
Device(config)# no system mode insecure
%SYS-4-SYSTEM_SECURITY_MODE_CHANGE: System Security Mode Changed from INSECURE to SECURE
تطبيق تكوينات غير آمنة
في "الوضع الآمن"، إذا حاول مستخدم تطبيق تكوين غير آمن ذو مرحلة مقيدة، يتم عرض رسالة خطأ ولا يتم تطبيق التكوين. على سبيل المثال:
Device# configure terminal Device(config)# ip ftp source-interface Gi0/0/0 %Error:Insecure configurations are not permitted in secure mode. To proceed, set the system mode to insecure using the command system mode insecure, and then try again. Module: FTP, Command: ip ftp source-interface GigabitEthernet0/0/0 , Reason: No encryption is configured, Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols %ERROR: Security policy check failed, configuration can't be applied Device(config)#end
الرسائل التي يتم عرضها مباشرة بعد محاولة التكوين تشير إلى أن الجهاز في وضع الأمان لذلك لا يمكن تطبيق التكوينات غير الآمنة التي تم توفيرها. يمكنك تأكيد عدم تطبيق التكوينات غير الآمنة:
Device# show running-config | include ip ftp source-interface
Device#
لتطبيق تكوينات غير آمنة مرحلة القيد، يحتاج المستخدمون إلى تمكين الوضع غير الآمن بشكل صريح أولا باستخدام التكوين العام غير الآمن لوضع النظام:
Device# configure terminal
Device(config)# system mode insecure
Device(config)# end
Device#show running-config all | include system mode
system mode insecure
بمجرد أن يكون الجهاز في وضع غير آمن، يمكن تطبيق تكوينات Restriction-phase غير آمنة. يتم عرض رسالة تحذير أمان مماثلة على التكوين؛ ومع ذلك، يتم تطبيق التكوين غير الآمن:
Device# configure terminal Device(config)# ip ftp source-interface Gi0/0/0 SECURITY WARNING - Module: FTP, Command: ip ftp source-interface GigabitEthernet0/0/0 , Reason: No encryption is configured, Description: FTP service enabled - transmits credentials and data in plaintext, vulnerable to interception, Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols Device(config)# end
Device# show running-config | include ip ftp source-interface
ip ftp source-interface GigabitEthernet0/0/0
Device#
يظهر للمستخدمين أيضا رسالة تحذير تسترعي الانتباه إلى التكوين غير الآمن. نظرا لأن عدادات الوقت تقوم بوضع هذه الرسائل في قائمة الانتظار لتحديد معدلها، يمكن أن يستغرق ظهور syslog هذا ما يصل إلى دقيقتين بعد التكوين:
%SYS-4-INSECURE_CONFIG: Module: FTP - Command: ip ftp source-interface GigabitEthernet0/0/0 - Reason: No encryption is configured - Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
الرجاء ملاحظة أن الميزات والبروتوكولات فقط في مرحلة التقييد تتطلب وضع غير آمن أو تقوم بتشغيله. لا يزال من الممكن تطبيق الميزات والبروتوكولات الموجودة في مرحلة التحذير في وضع الأمان
الانتقال التلقائي إلى وضع غير آمن
عند ترقية جهاز Cisco IOS XE إلى 26.1.1 أو إصدار أحدث، يكتشف النظام أي تكوينات غير آمنة مرحلة تقييد أثناء عملية التمهيد وينقل الجهاز تلقائيا إلى وضع غير آمن. لا يحتاج المستخدمون إلى القلق بشأن إضافة التكوين العام غير الآمن لوضع النظام يدويا بأنفسهم، ولا يوجد تأثير على الميزات غير الآمنة عند الانتقال إلى مرحلة التقييد.
يسير هذا المثال خلال الانتقال التلقائي إلى الوضع غير الآمن أثناء الترقية من 17.18.2 (حيث لا يوجد سياق "الوضع غير الآمن") إلى 26.1.1 (الذي يحتوي على سياق "الوضع غير الآمن" صريح). يبدأ الجهاز بتكوين غير آمن ip ftp source-interface GigabitEthernet0/0/0 المطبق.
في البداية، يبدأ هذا الجهاز على Cisco IOS XE، الإصدار 17.18.2:
Device# show version | include Cisco IOS XE Software
Cisco IOS XE Software, Version 17.18.02
تم الكشف عن تكوين غير آمن واحد:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 1 <<<----------
<snip>
+-------------------------------------------------------------
| ACTIVE INSECURE CONFIGURATION ENTRY [1/1]
+-------------------------------------------------------------
| Module: FTP
| Parent Command: NA
| CLI Command: ip ftp source-interface GigabitEthernet0/0/0 <<<----------
| Description: FTP service enabled - transmits credentials and data in plaintext, vulnerable to interception
| Reason: No encryption is configured
| Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
| Config Mode: configure
| Status: ACTIVE
| Severity: HIGH
+-------------------------------------------------------------
<snip>
=============================================================
DATABASE SUMMARY
=============================================================
Total Active Entries Processed: 1
<snip>
وبالإضافة إلى ذلك، لا يوجد مفهوم "الوضع الآمن" أو "الوضع غير الآمن" على هذا الإصدار:
Device# show running-config all | include system mode
Device#
ثم تتم ترقية الجهاز إلى 26.1.1، والذي يقدم الأوضاع الآمنة وغير الآمنة.
Device# show version | include Cisco IOS XE Software
Cisco IOS XE Software, Version 26.01.01
لا يزال هناك نفس التكوين غير الآمن الذي تم تطبيقه:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 1 <<<----------
<snip>
+-------------------------------------------------------------
| ACTIVE INSECURE CONFIGURATION ENTRY [1/1]
+-------------------------------------------------------------
| Module: FTP
| Parent Command: NA
| CLI Command: ip ftp source-interface GigabitEthernet0/0/0 <<<----------
| Description: FTP service enabled - transmits credentials and data in plaintext, vulnerable to interception
| Reason: No encryption is configured
| Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
| Config Mode: configure
| Status: ACTIVE
| Severity: HIGH
+-------------------------------------------------------------
<snip>
=============================================================
DATABASE SUMMARY
=============================================================
Total Active Entries Processed: 1
<snip>
بسبب وجود هذا (أو أي) تكوين غير آمن لمرحلة التقييد، يكتشف النظام وينتقل تلقائيا إلى وضع غير آمن:
Device# show system security mode
System Security Mode : Insecure
ويتم تطبيق التكوين غير الآمن في وضع النظام تلقائيا:
Device# show running-config all | include system mode
system mode insecure <<<----------
system mode warning periodicity 24
Device#
الرجاء ملاحظة أن وجود تكوينات غير آمنة في مرحلة التحذير لا يؤدي إلى الانتقال إلى وضع غير آمن. لا يؤدي إلا وجود تكوينات غير آمنة مرحلة التقييد إلى تشغيل الانتقال التلقائي.
أجهزة التصليد
يتم تشجيعك بشدة على بذل كل جهد ممكن للترحيل من الميزات والبروتوكولات غير الآمنة إلى أساليب أكثر أمانا قبل مرحلة الإزالة (المرحلة الثالثة). قامت Cisco بدمج بعض تحسينات قابلية الخدمة لجعل التعرف على التكوينات غير الآمنة وتصحيحها أسهل بشكل ملحوظ.
تحديد التكوينات غير الآمنة المطبقة
يمكن للمستخدمين عرض التكوينات غير الآمنة لمرحلة القيد التي يتم تطبيقها حاليا باستخدام أمر EXEC show system insecure configuration. يتم تضمين هذا الأمر تلقائيا في إخراج show tech-support في الإصدارات 26.1.1 والإصدارات الأحدث. هذا مثال للمخرجات من جهاز به ثلاثة تكوينات غير آمنة لمرحلة تقييد الدخول تم تطبيقها:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 3 <<<---------- Number of insecure configurations identified
Database Type: Active (Current State)
Scan Status: Complete
Next Update: Pending in 10 min 0 sec <<<------- Time remaining until this output refreshes to reflect
Database State: Update Scheduled any configuration changes applied.
=============================================================
SECURE_CONFIG_ACTIVE_INSECURE_CONFIG_DB_WALK: Processing 3 active insecure CLI entries
+-------------------------------------------------------------
| ACTIVE INSECURE CONFIGURATION ENTRY [1/3]
+-------------------------------------------------------------
| Module: FTP
| Parent Command: NA
| CLI Command: ip ftp source-interface GigabitEthernet0/0/0
| Description: FTP service enabled - transmits credentials and data in plaintext, vulnerable to interception
| Reason: No encryption is configured
| Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
| Config Mode: configure
| Status: ACTIVE
| Severity: HIGH
+-------------------------------------------------------------
SECURE_CONFIG_ACTIVE_INSECURE_CONFIG_DB_WALK: Processed entry 1: ip ftp source-interface GigabitEthernet0/0/0
<snip>
يتضمن هذا الإخراج معلومات أساسية حول الوحدة النمطية التي تحتوي على ميزة غير آمنة، أو الأمر الأصل أو التكوين إذا كان هذا تكوين متداخل، أو أمر CLI المحدد الذي تم وضع علامة عليه، أو سبب وضع علامة غير آمن عليه، أو إجراء الإصلاح اللازم لتصحيحه.
كما يمكن للمستخدمين عرض قائمة شاملة بجميع أنماط واجهة سطر الأوامر (CLI) غير الآمنة باستخدام الأمر show system insecure profile. بينما يعرض إظهار التكوين غير الآمن للنظام تكوينات غير آمنة لمرحلة التقييد التي يتم تطبيقها حاليا، يعرض عرض ملف تعريف غير آمن للنظام جميع التكوينات غير الآمنة لمرحلة التقييد التي تم تصميم النظام لاكتشافها. يتم تحديث قائمة التكوينات غير الآمنة في ملف التعريف بمرور الوقت مع إستمرار تطوير أفضل ممارسات الأمان.
مثال على عمليات المعالجة للمواصفات الشائعة غير الآمنة
توضح هذه الأمثلة كيف يمكن للمستخدمين اكتشاف العديد من عمليات التهيئة غير الآمنة التي تتم مواجهتها بشكل شائع والتعرف عليها ومعالجتها. قامت Cisco بتنفيذ برنامج للمساعدة في جعل التحديد والتخفيف دون جهد قدر الإمكان، سواء قام المستخدمون باستغلال رسائل syslog ل INSECURE_config أو إخراج التكوين غير الآمن ل show system.
أسلوب نقل الملفات غير الآمن
هذه هي رسائل التحذير التي تم رؤيتها على الجهاز:
%SYS-4-INSECURE_CONFIG: Module: FTP - Command: ip ftp source-interface GigabitEthernet0/0/0 - Reason: No encryption is configured - Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
%SYS-4-INSECURE_CONFIG: Module: FTP - Command: ip ftp username cisco - Reason: No encryption is configured - Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
%SYS-4-INSECURE_CONFIG: Module: FTP - Command: ip ftp password * - Reason: No encryption is configured - Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
يمكنك تشغيل show system unsecure configuration للاطلاع على معلومات إضافية حول هذه التكوينات غير الآمنة:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 3
Database Type: Active (Current State)
Scan Status: Complete
Next Update: No pending updates
Database State: Stable
=============================================================
SECURE_CONFIG_ACTIVE_INSECURE_CONFIG_DB_WALK: Processing 3 active insecure CLI entries
+-------------------------------------------------------------
| ACTIVE INSECURE CONFIGURATION ENTRY [1/3]
+-------------------------------------------------------------
| Module: FTP
| Parent Command: NA
| CLI Command: ip ftp source-interface GigabitEthernet0/0/0
| Description: FTP service enabled - transmits credentials and data in plaintext, vulnerable to interception
| Reason: No encryption is configured
| Remediation: Transition to secure file transfer methods using SCP, SFTP, HTTPS protocols
| Config Mode: configure
| Status: ACTIVE
| Severity: HIGH
+-------------------------------------------------------------
SECURE_CONFIG_ACTIVE_INSECURE_CONFIG_DB_WALK: Processed entry 1: ip ftp source-interface GigabitEthernet0/0/0
+-------------------------------------------------------------
| ACTIVE INSECURE CONFIGURATION ENTRY [2/3]
+-------------------------------------------------------------
| Module: FTP
| Parent Command: NA
| CLI Command: ip ftp username
تقوم هذه السجلات بالتعيين مباشرة إلى هذه التكوينات:
Device# show running-config | include ip ftp
ip ftp source-interface GigabitEthernet0/0/0
ip ftp username cisco
ip ftp password cisco
يمكن للمستخدمين تخفيف التكوينات غير الآمنة باستخدام هذه التغييرات:
Device# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Device# (config)# no ip ftp source-interface GigabitEthernet0/0/0
Device# (config)# no ip ftp username
Device# (config)# no ip ftp password
بروتوكولات SNMP القديمة غير الآمنة
هذه هي رسالة التحذير التي تم رؤيتها على الجهاز:
%SYS-4-INSECURE_CONFIG: Module: SNMP - Command: snmp-server community * ro - Reason: Legacy protocol poses data confidentiality and integrity risks due to lack of encryption and authentication - Remediation: Configure SNMP v3 User
يمكنك تشغيل show system insecure configuration للاطلاع على معلومات إضافية حول التكوين غير الآمن:
Device# show system insecure configuration
=============================================================
ACTIVE INSECURE CONFIGURATION DATABASE
=============================================================
Generated: Active Configuration Analysis
Total Active Insecure Commands: 1
Database Type: Active (Current State)
Scan Status: Complete
Next Update: No pending updates
Database State: Stable
=============================================================
SECURE_CONFIG_ACTIVE_INSECURE_CONFIG_DB_WALK: Processing 1 active insecure CLI entries
+-------------------------------------------------------------
| ACTIVE INSECURE CONFIGURATION ENTRY [1/1]
+-------------------------------------------------------------
| Module: SNMP
| Parent Command: NA
| CLI Command: snmp-server community RO
| Description: SNMP Community string configured - uses insecure SNMPv1/v2c protocol vulnerable to eavesdropping
| Reason: Legacy protocol poses data confidentiality and integrity risks due to lack of encryption and authentication
| Remediation: Configure SNMP v3 User
| Config Mode: configure
| Status: ACTIVE
| Severity: HIGH
+-------------------------------------------------------------
SECURE_CONFIG_ACTIVE_INSECURE_CONFIG_DB_WALK: Processed entry 1: snmp-server community cisco RO
=============================================================
DATABASE SUMMARY
=============================================================
Total Active Entries Processed: 1
<snip>
Device#
تقوم هذه السجلات بالتعيين مباشرة إلى هذا التكوين:
Device# show running-config | include snmp-server
snmp-server communityRO
يمكن للعملاء معالجة هذا الأمر باستخدام SNMPv3 بالمصادقة والتشفير (AuthPriv).
الأسئلة المتداولة (FAQ)
س: لماذا تقوم Cisco بإجراء هذه التغييرات؟
أ: تقوم Cisco بإجراء هذه التغييرات لتعزيز الأمان والمرونة للبنية الأساسية للشبكة الخاصة بها من خلال تعطيل الميزات القديمة غير الآمنة وتقديم أوجه حماية ومراقبة أقوى، وتبسيط العمليات الآمنة. وتساعد هذه الجهود على حماية العملاء من التهديدات السيبرانية المتطورة وتقليل وقت التوقف عن العمل وإعداد الشبكات لمواجهة التحديات المستقبلية مثل الحوسبة الكمية. وترمي المبادرة في مجملها إلى بناء أساس عصري وآمن وموثوق به للتكنولوجيات الحالية والمستقبلية
س: ماذا يحدث عندما تتم ترقية جهاز بتكوين غير آمن إلى إصدار في مرحلة التقييد لهذه الميزة؟
ج: عندما تتم ترقية جهاز إلى إصدار تقييد (المرحلة الثانية) لميزة معينة، يكتشف النظام التكوينات غير الآمنة أثناء عملية التمهيد وينقل الجهاز تلقائيا إلى وضع غير آمن.
س: ماذا يحدث عندما تتم ترقية جهاز بتكوين غير آمن إلى إصدار في مرحلة الإزالة لهذه الميزة؟
ج: عند ترقية جهاز إلى إصدار "إزالة" (المرحلة الثالثة) لميزة معينة، لم تعد التكوينات التي تمت إزالتها متوفرة. يجب على المستخدمين الالتزام بإجراءات الترحيل القياسية لإدارة الأوامر القديمة.
س: هل تمت إزالة جميع الميزات غير الآمنة في نفس الإصدار؟
أ: لا يتم إزالة جميع الميزات غير الآمنة في نفس الإصدار. تلتزم Cisco بنهج مرحلي للتخلص من الميزات غير الآمنة في ثلاث مراحل: يصدر أولا تحذيرات عندما يتم تكوين ميزات غير آمنة أو الكشف عنها، ثم تقييد إستخدامها بتعطيلها بشكل افتراضي أو يتطلب إجراء صريح من المسؤول (من خلال إدخال وضع غير آمن)، وأخيرا إزالة الميزات بالكامل في الإصدارات المستقبلية. يمكن أن تتخطى بعض الميزات مرحلة التقييد وتنتقل مباشرة من التحذيرات إلى الإزالة. يختلف توقيت الإزالة حسب الميزة والنظام الأساسي، مع أختلاف أرقام الإصدارات الخاصة بالتحذيرات والقيود وعمليات الإزالة عبر أنظمة التشغيل مثل Cisco IOS XE و Cisco IOS XR و Cisco NXOS و Cisco ISE و Cisco ASA/FTD. تضمن هذه العملية المنظمة الحد الأدنى من التعطيل، كما تتيح للعملاء الوقت الكافي للانتقال إلى بدائل آمنة.
س: متى تنتقل الميزة غير الآمنة الخاصة بي إلى مرحلة التقييد أو الإزالة؟
أ: يختلف توقيت انتقال الميزة غير الآمنة إلى مرحلة التقييد أو الإزالة حسب الميزة ونظام التشغيل. للحصول على معلومات تفصيلية، يرجى الرجوع إلى وثائق تفاصيل الإهمال والإزالة الخاصة بالميزة.
س: ما هي البدائل المتوفرة لميزاتي غير الآمنة؟
ج: يمكن للعملاء الرجوع إلى إزالة الميزة ووثائق البدائل المقترحة لتحديد البدائل الموصى بها لمختلف الميزات والبروتوكولات غير الآمنة.
س: كيف يمكنني معرفة التكوينات غير الآمنة التي قمت بتطبيقها حاليا؟
a: لمعرفة التكوينات غير الآمنة لمرحلة Restriction-Phase التي قمت بتطبيقها حاليا، يمكنك إستخدام الأمر show system insecure configuration على الإصدار Cisco IOS XE 26.1.1 والإصدارات الأحدث. يوفر هذا الأمر قائمة شاملة بميزات عدم الأمان من Restriction-Phase التي تم تكوينها على الجهاز. وبالإضافة إلى ذلك، في برنامج Cisco SD-WAN Manager، يمكنك الانتقال إلى مراقبة > نصائح وتحديد علامة التبويب تكوينات غير آمنة لعرض التكوينات غير الآمنة عبر الأجهزة ومجموعات التكوين والقوالب، مع إرتباطات لخطوات المعالجة. يتم تحديث طريقة العرض هذه كل 30 دقيقة تقريبا لضمان الحصول على أحدث المعلومات.
س: كيف يمكنني الاطلاع على قائمة بجميع عمليات التهيئة غير الآمنة المحتملة على إصدار برنامج معين؟
ج: يمكنك إستخدام الأمر show system insecure profile لعرض قائمة كاملة بجميع أنماط واجهة سطر الأوامر غير الآمنة الخاصة بتقييد المرحلة التي تم تصميم النظام لاكتشافها. وعلى عكس show system insecure configuration، والذي يظهر فقط التكوينات غير الآمنة المطبقة حاليا، يتضمن إخراج ملف التعريف جميع التكوينات المعروفة غير الآمنة في مرحلة التقييد ويتم تحديثه مع مرور الوقت كلما تطورت أفضل ممارسات الأمان.
س: لقد قمت بإصلاح تكوين غير آمن. لماذا لا يزال يظهر في إخراج التكوين غير الآمن لنظام العرض؟
A: يتم تشغيل الفحص بحثا عن التكوينات غير الآمنة بشكل دوري فقط أثناء التواجد في الوضع غير الآمن. وهذا يعني أنه بعد تصحيح تكوين غير آمن، لا يمكن للنظام عكس التغيير فورا حتى يحدث الفحص المجدول التالي، والذي يحدث على فترة 30 دقيقة. تضمن هذه الجدولة تحديث أحدث تفاصيل التكوين غير الآمن وعرضها بشكل منتظم مع تقليل التكاليف العامة المطلوبة لإجراء الفحص. يمكنك إستخدام الأمر test system secure all لفرض إعادة بيع فورية بحيث لا تضطر إلى انتظار انتهاء صلاحية مؤقت المسح الضوئي.
س: كيف يمكنني التحقق بشكل استباقي من التكوينات غير الآمنة التي قمت بتطبيقها قبل الترقية؟
أ: للتحقق بشكل استباقي من التكوينات غير الآمنة التي قمت بتطبيقها قبل الترقية، قبل Cisco IOS XE 17.18.2، يمكن للعملاء إستخدام مساعد AI من Cisco للحصول على الدعم المتوفر على صفحة البنية الأساسية المرنة من Cisco، والتي تتيح تحميل التكوينات لتحديد الميزات غير الآمنة. وباستخدام أداة مماثلة، فإن أداة إختبار البنية الأساسية المرنة من Cisco Config هي خيار آخر للعملاء. بدءا من Cisco IOS XE 17.18.2 والإصدارات الأحدث، لا يزال بإمكان العملاء إستخدام هذه الأدوات، ولكن لديك أيضا الخيار لتشغيل الأمر show system unsecure configuration مباشرة على أجهزتك لعرض التكوينات غير الآمنة المطبقة حاليا. ومع ذلك، فإن إستخدام مساعد الذكاء الاصطناعي لروبوت الدعم وممتحن البنية التحتية المرن يوفر زيادة إضافية قائمة على الذكاء الاصطناعي بخلاف الأمر المباشر CLI.
موارد إضافية
ويتم تشجيع العملاء على القراءة من خلال هذه الوثائق لتكملة فهم أفضل الممارسات الأمنية والبدائل المتاحة لتشكيلاتهم الحالية غير الآمنة.
البنية الأساسية المرنة من Cisco - توفر خلفية أساسية حول الانتقال إلى وضع الأمان المحسن عبر أجهزة Cisco ويمكن للمستخدمين الاستفادة من مساعد AI من Cisco ل Support Bot في الركن السفلي الأيمن من هذه الصفحة للتقدم عبر سير عمل موجه لتحديد التكوينات غير الآمنة من مخرجات مختلفة
Cisco Config Flexible Infrastructure Tester - أداة يمكن إستخدامها للتحقق من التكوينات غير الآمنة استنادا إلى running-config المقدمة
دليل تقوية برنامج Cisco IOS XE Software - تفاصيل أفضل الممارسات لتعزيز أجهزة Cisco IOS XE وزيادة الأمان الإجمالي لشبكتك
إزالة الميزات والبدائل المقترحة - يوثق قائمة الميزات والبروتوكولات غير الآمنة المخطط إزالتها في نهاية المطاف، بالإضافة إلى البدائل الموصى بها
ميزة تفاصيل الترحيل والإزالة - مستندات عند وجود ميزات وبروتوكولات معينة غير آمنة في مراحل التحذير و/أو التقييد استنادا إلى إصدار برنامج Cisco IOS XE
دليل مراقبة وصيانة شبكة SD-WAN - فصل إدارة التكوين غير الآمن - يغطي إمكانية الرؤية المركزية والإصلاح القابل للتنفيذ لتكوينات الميزات غير الآمنة في Cisco Catalyst SD-WAN، مما يساعد المسؤولين على تحديد مواطن الضعف وإصلاحها لتعزيز أمان الشبكة والحفاظ على التوافق
بنية أساسية مرنة: Cisco Catalyst SD-WAN والمرجع التقني للتوجيه - كتاب تشغيل تقوية الأمان ومرونته ل Cisco Catalyst SD-WAN والتوجيه. وهو يوفر إرشادات إرشادية لتحديد التكوينات غير الآمنة وإصلاحها واستبدالها عبر واجهة سطر الأوامر (CLI) ونماذج الإدارة القائمة على واجهة المستخدم (UI)، بهدف تعزيز الأمان والحد من سطح الهجوم وحماية البيانات من خلال الانتقال من بدائل غير آمنة إلى بدائل آمنة ومرنة، مع ضمان التناسق بين نماذج التشغيل
يركز التحويل Cisco C9000 Switching Cisco IOS XE - Flexible Infrastructure Playbook - على تحديد التكوينات غير الآمنة واستبدالها ببدائل آمنة ومرنة لتعزيز وضع الأمان وتقليل مساحة الهجوم وحماية البيانات. يهدف الدليل إلى ضمان التناسق عبر نماذج تشغيل واجهة سطر الأوامر (CLI) وواجهة المستخدم أثناء تحسين مرونة الشبكة وبساطة التشغيل لعائلة Catalyst 9000
البنية الأساسية المرنة اللاسلكية Cisco 9800 - تحدد الاستراتيجية المرحلية في Cisco لتقدير الميزات والبروتوكولات غير الآمنة، وتوفير مسارات ترحيل شاملة لتأمين بدائل لمنع انقطاع الخدمة أثناء ترقية البرامج. وهو يتضمن جداول مرجعية مفصلة للتكوينات المتأثرة عبر النقل عبر الخطوط ونقل الملفات وبروتوكولات الإدارة، إلى جانب إرشادات حول التأثيرات التشغيلية المحتملة للفشل في الترحيل
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
27-May-2026
|
الإصدار الأولي |
التعليقات